개요 취약점 정보
시스템 메모리 정보 노출 취약점 영향 받는 버전 영향 받는 시스템 및 소프트웨어 영향 받지 않는 소프트웨어 OpenSSL 0.9.x 대 버전 OpenSSL 1.0.0 대 버전 OpenSSL 1.0.1g
취약점 내용
공격 형태
※ 노출 가능한 정보: SSL 서버 비밀키, 세션키, 쿠키 및 개인정보(ID/PW, 이메일주소 등) 등 ※ 노출되는 정보는 서비스 환경에 따라 다를 수 있음 취약점 확인 절차 점검 대상 선정 서버, 네트워크, 보안 장비 등의 시스템에서 OpenSSL 설치 여부 확인 웹 서버의 경우 서브 도메인을 운영하는 시스템도 점검 대상에 포함 시스템뿐만 아니라 소프트웨어 제품 자체에 OpenSSL 라이브러리가 내장되어 있을 경우 버전 확인 후 점검 대상에 포함
취약점 노출 여부 확인 방법
- OpenSSL 하트비트(HeartBeat) 활성화 여부 확인
취약한 버전의 OpenSSL을 사용하는 시스템 중 HeartBeat 기능 사용 여부 확인 방법 (단, 패치된 최신 버전(1.0.1g)은 활성화 여부를 확인할 필요 없음) 취약한 버전이 HeartBeat를 사용하지 않은 경우 취약점에 영향 받지 않음
※ 명령어 실행 방법 : domain.com에 점검 대상 URL 정보로 수정 ※ HeartBeat 기능이 활성화되어 있는 경우 heartbeat 문자열이 검색됨 ※ HeartBeat 기능이 활성화되지 않은 경우 heartbeat 문자열이 검색되지 않음
※ 참고 사이트 : http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902 - KISA(한국인터넷진흥원)를 통한 취약점 여부 확인
- 자체적인 확인이 어려울 경우 KISA 전문가로부터 점검을 요청
- 손기종 : 02-405-5223 / skj@kisa.or.kr
- 김유홍 : 02-405-5488 / uhong@kisa.or.kr
해결 방안
<시스템 측면 대응 방안>
<네트워크 보안 장비 측면 대응 방안>
※ 출처 : FBI <서비스 관리 측면 대응 방안>
|